En fransk sikkerhetsforsker Adrien Guinet har funnet en måte å dekryptere WannaCrypt Ransomware krypterte filer ved å hente krypteringsnøkkelen som brukes av WannaCrypt ransomware. Men for øyeblikket er dette verktøyet bare testet på og kjent for å fungere under Windows XP, men kan også fungere for Windows Vista, Windows 7 og Windows 8. Det vil imidlertid ikke fungere på Windows 10.
Under gunstige forhold, WannaKey og WanaKiwi, kan to dekrypteringsverktøy hjelpe dekryptere WannaCrypt eller WannaCry Ransomware krypterte filer ved å hente krypteringsnøkkelen som brukes av ransomware.
WannaCry Ransomware Decryptor Tool
WannaKey Fungerer ved å søke etter RSA private nøkler som brukes av Wannarypt i wcry.exe prosessen. Wcry.exe er prosessen som genererer RSA private nøkkel. Hovedproblemet er at ransomware ikke sletter primallene fra minnet før du frigjør det tilknyttede minnet.
Det er imidlertid en fangst. Dette verktøyet virker bare hvis du ikke har startet på nytt etter datasystemet etter å ha blitt smittet, og det tilhørende minnet ikke er blitt tildelt til en annen prosess.
Sier forfatteren sin,
This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I’ve tested, under Windows 10, CryptReleaseContext does clean up the memory (and so this recovery technique won’t work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.
Du kan bruke dette verktøyet til å dekryptere filene dine.
Det er også et annet verktøy kalt WanaKiwi Det er basert på Adriens funn, og det er tilgjengelig for nedlasting fra Github.
WanaKiwi also recreates the.dky files expect from the ransomware by the attackers, which makes it compatible with the ransomware itself too. This also prevents the WannaCry to encrypt further files.
Den har blitt testet på Windows XP, Windows XP og Windows 7, og du kan lese mer om dette her.
TIPS: Det er noen gratis Vaccinator & Vulnerability Scanner Tools for WannaCry Ransomware tilgjengelig også.
